IIS/ASP.NET에서 SSL 구성

Question

최대한 간단하게하려고 노력할 것입니다. 내 서버에 이미 인증서가 설치되어 있습니다. 난 .. 내 웹 사이트에서 ssl을 구성하는 적절한 방법에 관한 질문이 있습니다.

루트 login.aspx 및 admin 및 cart 디렉토리에서 보안을 설정해야합니다. 따라서 IIS에서 사이트의 파일이나 디렉토리를 마우스 오른쪽 버튼으로 클릭하고 Properties ->File/Directory Security 탭 ->Secure Communications 섹션으로 이동하여 Edit ->Require secure channel (SSL)을 확인하십시오. 이로 인해 https 연결을 통해 파일 또는 디렉터리 내용이 요청되고 asp.net은 요청을 자동으로 변환하지 않습니다.

그래서, 내 모든 링크를 변경하고 대신하는 http 또는 https을 지정하는 절대 URL을 사용하여 리디렉션, 나는 here을 제안 자동으로 http 사이 https 사이를 전환 할 http module을 구현했습니다. 그러나, 나는 여전히 오류가 발생합니다 :

The page must be viewed over a secure channel

이 처음아니었다 https를 통해 전송하지만, 모듈에 변환하기 때문이다. IIS에서 설정을 제거하면 제대로 작동합니다. 페이지 모듈은 자동으로 연결을 https으로 전환합니다. 제 질문은, IIS에서 SSL 요구 사항 설정을하지 않아도되고, http 모듈이 http/https를 처리하도록하는 것입니까? 나는 그렇게함으로써 안전 계층을 잃어버린 것처럼 느낍니다. 아무도 이것에 대한 통찰력을 가지고 있습니까?

Answer 1

Require secure channel 옵션을 사용하지 않는 것이 좋습니다. secure.domain.com과 같이 전체 도메인을 보호해야하는 경우에만 해당 옵션을 활성화했습니다. HTTPS가되어야하는 부분과 그렇지 않은 부분이있는 사이트의 경우, 사용자가 설명한 스위처 방법을 사용합니다. 사용자가 로그인 페이지를 요청하면 HTTPS를 통해 동일한 페이지로 리디렉션됩니다. 모든 쿠키은 SSL을 통해 전달되도록 설정되어 : 쿠키가없는

<system.web> 
     <httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true" /> 
</system.web> 

경우, 사용자가 로그인하지 않은 및 페이지는 HTTP를 통해 전달됩니다.